Criação e configuração de portas frontais
O Front Door tem vários componentes que se combinam para acelerar as solicitações para aplicativos da Web, mantendo a alta disponibilidade em escala global. Vamos dar uma olhada nos diferentes componentes que compõem o serviço Front Door e como eles desempenham um papel no roteamento das solicitações do usuário final.
Pontos finais
Um ponto de extremidade é um agrupamento lógico de uma ou mais rotas e políticas de segurança associado a um domínio. Um perfil de nível Standard ou Premium pode suportar mais de um ponto de extremidade.
Rotas
As regras de roteamento da Porta da Frente determinam como cada solicitação é processada quando chega à borda da Porta da Frente. Uma rota contém informações para mapear domínios e caminhos de URL para um grupo de origem específico. Dentro de uma rota, você pode configurar os protocolos usados para solicitações que são encaminhadas para a origem. Você também pode habilitar o cache para uma resposta mais rápida do conteúdo solicitado com frequência e configurar conjuntos de regras para lidar com tipos de solicitação específicos.
Origens
Uma origem é uma implantação de aplicativo da qual o Azure Front Door recupera conteúdo quando o cache não está disponível. O Front Door suporta origens hospedadas no Azure, no local e em outra nuvem. Ao definir uma origem, você precisa especificar o tipo, nome do host, cabeçalho do host, validação do nome do assunto do certificado, prioridade e peso. A definição desses campos ajuda o Front Door a determinar qual recurso de origem é melhor para responder às solicitações recebidas.
Grupos de origem
Um grupo de origem é um conjunto de origens que recebem tráfego semelhante para a sua aplicação. Esse agrupamento lógico de aplicativos pode estar na mesma região ou entre regiões diferentes. Por padrão, as solicitações são enviadas para as origens com a menor latência. Esse comportamento pode mudar modificando a prioridade e o peso de cada origem no grupo de origem. Você também pode habilitar a afinidade de sessão com em um grupo de origem para garantir que todas as solicitações do mesmo usuário sejam enviadas para o mesmo recurso de origem.
Motor de regras
Um conjunto de regras é um mecanismo de regras personalizado que agrupa uma combinação de regras em um único conjunto. Um conjunto de regras pode ser associado a várias rotas. Essas regras são processadas na borda da porta da frente antes que as solicitações sejam encaminhadas para a origem. Uma única regra pode ter até 10 condições de jogo e 5 ações.
Condições de correspondência das regras
As condições de correspondência identificam o tipo específico de ações que o pedido deve tomar. Quando várias condições de correspondência são usadas em uma regra, elas são agrupadas usando uma lógica AND.
O seguinte tipo de condições de correspondência pode ser encontrado em um conjunto de regras:
- Filtre solicitações com base em um endereço IP, porta ou país/região específico.
- Filtre solicitações por informações de cabeçalho.
- Filtre solicitações de dispositivos móveis ou desktop.
- Filtre solicitações de nome de arquivo de solicitação e extensão de arquivo.
- Filtre solicitações por nome de host, protocolo TLS, URL de solicitação, protocolo, caminho, cadeia de caracteres de consulta, args de postagem e outros valores.
Ações de regras
Uma ação é o comportamento aplicado ao tipo de solicitação quando ele corresponde à(s) condição(ões) de correspondência. A seguir estão as ações que você pode executar atualmente quando uma solicitação corresponder a uma condição:
- Substituição de configuração de rota - para substituir o grupo de origem ou a configuração de cache a ser usada para a solicitação.
- Modificar cabeçalho de solicitação - para acrescentar, substituir ou excluir o valor do cabeçalho na solicitação enviada para a origem.
- Modificar cabeçalho de resposta - para acrescentar, substituir ou excluir o valor do cabeçalho na resposta antes de ser enviado de volta ao cliente.
- Redirecionamento de URL - para redirecionar clientes para um URL diferente. A Front Door envia a resposta.
- Reescrita de URL - para reescrever o caminho da solicitação que está sendo enviada para a origem.
Política de segurança
O Front Door suporta políticas e regras do Web Application Firewall (WAF). Uma política de segurança em um perfil Front Door contém várias políticas WAF que podem ser usadas para diferentes domínios no perfil. As regras do WAF defendem seu serviço Web contra exploits e vulnerabilidades comuns, como injeções de SQL, scripts entre sites, ataques Java e muito mais. Os seguintes recursos são atualmente suportados para WAF na porta frontal:
- Configurações de política - Permite controlar o acesso aos seus aplicativos Web usando um conjunto de regras personalizadas e gerenciadas.
- Gerenciar regras - Forneça uma maneira fácil de implantar proteção contra um conjunto comum de ameaças à segurança. Como o Azure gerencia os conjuntos de regras, as regras são atualizadas conforme necessário para proteger contra novas assinaturas de ataque.
- Regras personalizadas - Permite controlar o acesso às suas aplicações Web com base nas condições que definir. Uma regra WAF personalizada consiste em um número de prioridade, tipo de regra, condições de correspondência e uma ação.
- Lista de exclusão - Permite omitir determinados atributos de solicitação de uma avaliação do WAF e permitir que o restante da solicitação seja processado normalmente.
- Filtragem geográfica - Permite restringir o acesso à sua aplicação Web por países/regiões.
- Proteção de bots - Fornece regras de bot para identificar bots bons e proteger contra bots ruins.
- Restrição de IP - Permite controlar o acesso às suas aplicações Web especificando uma lista de endereços IP ou intervalos de endereços IP.
- Limitação de taxa - Uma regra de limite de taxa personalizada controla o acesso com base nas condições correspondentes e nas taxas de solicitações recebidas.
- Ajuste - Permite ajustar as regras do WAF para atender às necessidades dos requisitos do WAF do seu aplicativo e organização. Os recursos de ajuste que você pode esperar ver são a definição de exclusões de regras, a criação de regras personalizadas e a desativação de regras.
- Monitoramento e registro em log - O monitoramento e o registro em log são fornecidos por meio da integração com os logs do Azure Monitor e do Azure Monitor.
Camadas da porta dianteira
A porta dianteira tem três níveis, Classic, Standard e Premium. Cada camada suporta muitos recursos e otimização que você pode usar. A camada Standard é otimizada para a entrega de conteúdo, enquanto a camada Premium é otimizada para segurança. Consulte a tabela a seguir para obter uma lista completa dos recursos de suporte para cada camada.
Comparação de recursos entre níveis
| Funcionalidades e otimização | Standard | Premium | Clássico |
|---|---|---|---|
| Entrega de arquivos estáticos | Sim | Sim | Sim |
| Entrega dinâmica do site | Sim | Sim | Sim |
| Domínios personalizados | Sim - Validação de domínio baseada em registo TXT DNS | Sim - Validação de domínio baseada em registo TXT DNS | Sim - validação baseada em CNAME |
| Gerenciamento de cache (limpeza, regras e compactação) | Sim | Sim | Sim |
| Balanceamento de carga de origem | Sim | Sim | Sim |
| Roteamento baseado em caminho | Sim | Sim | Sim |
| Motor de regras | Sim | Sim | Sim |
| Variável de servidor | Sim | Sim | No |
| Expressão regular no mecanismo de regras | Sim | Sim | No |
| Métricas expandidas | Sim | Sim | No |
| Análises avançadas/relatórios integrados | Sim | Sim - inclui relatório WAF | Não |
| Logs brutos - logs de acesso e logs WAF | Sim | Sim | Sim |
| Log da sonda de integridade | Sim | Sim | No |
| Regras personalizadas do WAF (Web Application Firewall) | Sim | Sim | Sim |
| Conjunto de regras gerenciadas pela Microsoft | Não | Sim | Sim - Apenas a regra padrão definida 1.1 ou inferior |
| Proteção contra bots | Não | Sim | No |
| Suporte de link privado | Não | Sim | No |
| Preço simplificado (base + utilização) | Sim | Sim | No |
| Integração do Azure Policy | Sim | Sim | No |
| Integração do Azure Advisory | Sim | Sim | No |
Criar e configurar um perfil
Você pode criar e configurar o Front Door usando o portal do Azure, o Azure PowerShell ou a CLI do Azure. Para a CLI do Azure, use o az afd profile create comando para criar um novo perfil. Se preferir o Azure PowerShell, você pode usar o New-AzFrontDoor cmdlet. Você pode concluir a maioria das operações do gerenciador Front Door usando o portal do Azure.
Vamos criar e configurar um perfil de porta frontal para os sites do departamento de veículos motorizados que implantamos anteriormente.